Wireshark не показывает адрес назначения широковещательной передачи Ethernet
Если я отправляю широковещательные пакеты через Ethernet, это означает, что адрес Ethernet назначения имеет значение 0xffffffffffff, Однако когда я смотрю на отправленные пакеты в Wireshark, часть пакета, в которой должен находиться пункт назначения eth, никогда не будет 0xffffffffffffи вместо этого это что-то еще.
Вот скриншот:
Выделенной частью должны быть эти пункт назначения, источник и тип фрейма. Я вижу источник eth и тип фрейма, но назначение eth не 0xffffffffffff как я ожидаю, что это будет для трансляции, и на самом деле, похоже, не является действительным Mac-адрес назначения вообще. Кто-нибудь может объяснить это?
2 ответа
"Linux Cooked Capture" - это действительно большой намек на то, что не так. Из вики Wireshark:
При захвате с "любого" устройства или с одного из этих других устройств в Linux libpcap не предоставляет заголовок канального уровня для реального "аппаратного протокола", такого как Ethernet, но вместо этого предоставляет поддельный заголовок канального уровня для этого псевдопротокола.
Таким образом, вы можете убедиться, что у вас есть привилегии сниффинга, а затем указать интерфейс, а не полагаться на перехват "Any"
Захват кажется обработанным пакетом. Для того чтобы увидеть MAC-адрес назначения, вам понадобится необработанный снимок с полным кадром - MAC-адрес назначения предшествует MAC-адресу источника.